PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Vorsicht: Sicherheitslücke in PHPMailer gefährdet unzählige Websites



RedDevil
26.12.2016, 18:17
https://www.szenebox.org/images/_imported/2016/12/83.jpg ► Die Open-Source PHP-Bibliothek PHPMailer bringt durch eine Sicherheitslücke zahlreiche Webseiten in Gefahr. Die durch Dawid Golunski von Legal Hackers aufgedeckte Schwachstelle kann Remotecode-Ausführungen zulassen. Golunski hat angekündigt, ein Proof of Concept zu veröffentlichen.

Die gute Nachricht vorab: Nach dem aktuellen Wissenstand betrifft die Schwachstelle nur die älteren Versionen von PHPMailer. Die aktuelle Version 5.2.18 ist nicht betroffen. PHPMailer bittet daher alle Entwickler, ihre Projekte schnellstmöglich zu überprüfen und wenn noch nicht geschehen auf den neusten Stand zu bringen, um die Endnutzer nicht weiter zu gefährden. Dennoch könnte sich die Sicherheitslücke zu einem Gau für viele Blog- und Webseitenbetreiber entwickelt, denn PHPMailer wird von zahlreichen Plugins und Themes verwendet, um beispielsweise mit den beliebten Content-Management-Systemen Wordpress oder Joomla E-Mails zu versenden. Wenn die entsprechenden Erweiterungen nicht auf dem neusten Stand sind, könnte es zu Problemen kommen - und es gibt doch die eine oder andere Anwendung, die PHPMailer nutzt, weit verbreitet ist, und noch nicht aktualisiert wurde, warnt Dawid Golunski (http://winfuture.digidip.net/visit?url=https%3A%2F%2Flegalhackers.com%2Fadvisor ies%2FPHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html&ppref=http%3A%2F%2Fwinfuture.de%2Fnews%2Fticker%2F ).

► Deaktivieren
PHPMailer wird für zahlreiche weitere Projekte verwendet, wie Drupal, 1CRM oder SugarCRM. Kontakt- und Registrierungsformulare nutzen die Bibliothek häufig, sodass viele Webseitenbetreiber sich vielleicht gar nicht bewusst sind, betroffen zu sein - und sie können zur Sicherheit nicht mehr tun als zum Beispiel die betroffenen Plugins zu deaktivieren.

► Proof of Concept angekündigt
Laut dem Entdecker der Schwachstelle erlaubt der Fehler in der PHP-Lib eine Remote-Code-Execution, die er schon bald öffentlich präsentieren will. Es fehlt in den vorangegangenen Versionen der Bibliothek die Validierung der Absenderadresse. PHPMailer umgeht das Problem mit der aktuellsten Version. Unbefugte Dritte könnten daher die Schwachstelle bei älteren Versionen über betroffene Formulare recht einfach ausnutzen und für ihre Zwecke verwenden.

Quelle: Winfuture.de (http://winfuture.de/news,95551.html)► UPDATE:
Inzwischen existiert ein Proof-of-Concept-Exploit (https://github.com/opsxcq/exploit-CVE-2016-10033), der jedoch nur mit PHP-Versionen älter als 5.2.0 ausnutzbar ist. Außerdem muss PHP ohne PCRE-Unterstützung kompiliert sein. Es ist aber vermutlich möglich, die Sicherheitslücke auch unter anderen Bedingungen auszunutzen, dafür muss jedoch mehr Aufwand (https://twitter.com/i0n1c/status/813691464815439872) betrieben werden.

Die Entwickler von Joomla haben ein Advisory (https://developer.joomla.org/security-centre/668-20161205-phpmailer-security-advisory.html) herausgegeben, in dem sie erklären, dass die Lücke in der Core-Funktionalität von Joomla nicht ausnutzbar ist, da die Eingabedaten durch andere Funktionen validiert werden. Daher sei kein unmittelbares Update notwendig. Drupal (https://www.drupal.org/psa-2016-004?platform=hootsuite) hat ebenfalls ein Advisory herausgegeben, allerdings nutzt Drupal PHPMailer sowieso nicht, lediglich Plugins sind betroffen. Wordpress hat sich bisher nicht dazu geäußert.

Quelle: Golem.de (http://www.golem.de/news/websicherheit-phpmailer-bringt-eine-boese-weihnachtsueberraschung-1612-125255.html)